信息安全等級保護標(biāo)準(zhǔn)在電力行業(yè)的應(yīng)用
統(tǒng)包括財務(wù)應(yīng)用相關(guān)的各系統(tǒng),主要功能包括預(yù)算管理、核算管理、資金管理、電子支付等。
3.1 等級保護測評工作中測評指標(biāo)的選取
開展電力企業(yè)信息安全等級保護測評工作時,一般來說,測評指標(biāo)包括基本指標(biāo)和特殊指標(biāo)兩部分。基本指標(biāo)依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級,選擇國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》中對應(yīng)級別的安全要求作為等級測評的基本指標(biāo)。基本指標(biāo)的指標(biāo)類別和數(shù)量見表3-1。
| 測評指標(biāo) | |||||
| 技術(shù)/管理 | 安全類 | 數(shù)量 | |||
| S類 | A類 | G類 | 小計 | ||
| (2級) | (3級) | (3級) | |||
| 安全技術(shù) | 物理安全 | 1 | 4 | 25 | 30 |
| 網(wǎng)絡(luò)安全 | 1 | 0 | 31 | 32 | |
| 主機安全 | 9 | 5 | 12 | 26 | |
| 應(yīng)用安全 | 11 | 9 | 6 | 26 | |
| 數(shù)據(jù)安全 | 2 | 4 | 0 | 6 | |
| 安全理 | 安全管理制度 | 0 | 0 | 11 | 11 |
| 安全管理機構(gòu) | 0 | 0 | 20 | 20 | |
| 人員安全管理 | 0 | 0 | 16 | 16 | |
| 系統(tǒng)建設(shè)管理 | 0 | 0 | 45 | 45 | |
| 系統(tǒng)運維管理 | 0 | 0 | 62 | 62 | |
| 合 計 | 274(控制點) |
表3-1 基本指標(biāo)
同時,應(yīng)結(jié)合行業(yè)和系統(tǒng)的實際,依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級,選擇《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》中對應(yīng)級別的安全要求作為本次等級測評的特殊指標(biāo)。特殊指標(biāo)的指標(biāo)類別和數(shù)量見表3-2。
| 測評指標(biāo) | |||||
| 技術(shù)/管理 | 安全類 | 數(shù)量 | |||
| S類 | A類 | G類 | 小計 | ||
| (2級) | (3級) | (3級) | |||
| 安全技術(shù) | 物理安全 | 1 | 4 | 25 | 30 |
| 網(wǎng)絡(luò)安全 | 1 | 0 | 37 | 38 | |
| 主機安全 | 9 | 5 | 12 | 26 | |
| 應(yīng)用安全 | 11 | 9 | 6 | 26 | |
| 數(shù)據(jù)安全 | 2 | 3 | 0 | 5 | |
| 安全管理 | 安全管理制度 | 0 | 0 | 11 | 11 |
| 安全管理機構(gòu) | 0 | 0 | 20 | 20 | |
| 人員安全管理 | 0 | 0 | 16 | 16 | |
| 系統(tǒng)建設(shè)管理 | 0 | 0 | 45 | 45 | |
| 系統(tǒng)運維管理 | 0 | 0 | 62 | 62 | |
| 合 計 | 279(控制點) |
表3-2 特殊指標(biāo)
此外,還有總體要求指標(biāo)。《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》(送審稿)中管理信息系統(tǒng)類和生產(chǎn)控制類系統(tǒng)總體要求均由整體技術(shù)要求和通用管理要求組成,如管理信息類系統(tǒng)整體技術(shù)要求規(guī)定:管理信息大區(qū)網(wǎng)絡(luò)與生產(chǎn)控制大區(qū)網(wǎng)絡(luò)應(yīng)物理隔離;兩網(wǎng)之間有信息通信交換時應(yīng)部署符合電力系統(tǒng)要求的單向隔離裝置;管理信息大區(qū)網(wǎng)絡(luò)可進一步劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),兩網(wǎng)之間有信息通信交換時防護強度應(yīng)強于邏輯隔離;具有層次網(wǎng)絡(luò)結(jié)構(gòu)的單位可統(tǒng)一提供互聯(lián)網(wǎng)出口;二級系統(tǒng)統(tǒng)一成域,三級系統(tǒng)單獨成域;三級系統(tǒng)域由獨立子網(wǎng)承載,每個域有唯一網(wǎng)絡(luò)出口,可在網(wǎng)絡(luò)出口處部署三級等級保護專用裝置為系統(tǒng)提供整體安全防護。通用管理要求規(guī)定:如果本單位管理信息大區(qū)僅有一級信息系統(tǒng)時,通用管理要求等同采用一級;如果本單位管理信息大區(qū)含有二級及以下等級信息系統(tǒng)時,通用管理要求等同采用二級;如果本單位管理信息大區(qū)含有三級及以下等級信息系統(tǒng)時,通用管理要求等同采用三級。
3.2等級保護測評工作中測評指標(biāo)的應(yīng)用
在信息安全等級保護試點測評工作中,由于被評估單位信息資產(chǎn)種類、數(shù)量多,在一段時間內(nèi)不可能逐一進行全面檢測,三級系統(tǒng)的檢測采用抽樣方法進行,其目的是確定技術(shù)脆弱性檢測的重點對象和目標(biāo)。抽樣檢測的對象和目標(biāo)必須要能代表信息系統(tǒng)的安全現(xiàn)狀,否則評估結(jié)果就會偏離實際情況。試點測評工作中,對電力企業(yè)的電力財務(wù)(資金)管理系統(tǒng)資產(chǎn)抽樣時遵循了典型性、全面性兩原則。典型性原則即對同一應(yīng)用中軟件配置完全相同的資產(chǎn)抽樣部分資產(chǎn),全面性原則即對財務(wù)(資金)管理系統(tǒng)中每一類資產(chǎn)都要抽樣。
根據(jù)選取的指標(biāo)項以及系統(tǒng)測評對象選取結(jié)果,在前期系統(tǒng)調(diào)研的成果上,現(xiàn)場需要開發(fā)作業(yè)指導(dǎo)書以及編制實施方案。在測評工作中,通過測評以及核查的結(jié)果綜合分析可給出系統(tǒng)面臨的風(fēng)險,并在安全技
- 相關(guān)閱讀
- 熱門技術(shù)
- 電力通信
- 智能電網(wǎng)
- 云計算
- 大數(shù)據(jù)
-
大數(shù)據(jù)時代 大數(shù)據(jù)安全
-
ofo:今日起與廣州政府實現(xiàn)大數(shù)據(jù)信息共享
-
年度盤點:大數(shù)據(jù)+人工智能網(wǎng)絡(luò)安全應(yīng)用回顧及展望
-
儲能的重要性被擺上臺面丨盤點2017
-
5大亮點,5大趨勢——關(guān)于能源互聯(lián)網(wǎng)的今天和明天,讀這一篇就夠了
-
百度發(fā)布Apollo2.0版無人車 新增攝像頭傳感器
